アカウント名:
パスワード:
連続する同じ数字(9999など)等、第三者に類推されやすい暗証番号でのログインは、2006年8月21日よりできないようになりました。VpassID登録(無料)のうえご利用ください。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
まあそれはそれでいいんだけど (スコア:5, すばらしい洞察)
Re:まあそれはそれでいいんだけど (スコア:3, 興味深い)
同時移行は無理だし・・・
Re:まあそれはそれでいいんだけど (スコア:2, すばらしい洞察)
和暦年月禁止(6301、1804など)、西暦年月禁止(9001、0004など)、
語呂禁止(4649、5963など)、ポケベル語禁止(0753、0840など)・・・
やりすぎると0000~9999の1万通り使えた暗証番号が、数百通りしか
使えなくなったりして。規制するなら桁を増やさないと。
匠気だけでは商機なく、正気なだけでは勝機なし。
Re:まあそれはそれでいいんだけど (スコア:2, おもしろおかしい)
と、書いたところでどこまでが自分に関連する情報として扱われるのか不安になってきました。
例)
0822、と。「お客様、その数列は奥様の弟様の誕生日に合致します。再度ご入力ください。」じゃ1218、かな。「お客様、その数列は伯父にあたる方の誕生日に合致します。再度ご入力ください。」…10年に一度しか会わないぞ…えい、もうランダムで0928!「お客様、その数列は従姉にあたる方の配偶者の方の誕生日に(略)」……俺でもそこまでシランガナ(;´д`)、じゃあ日付になるようなのは避けて1453!「お客様、その数列はお父様が興味をもたれていた天文学ではコペルニクスの地動説発表の年号に(略)」( ゚д゚ )
Re:まあそれはそれでいいんだけど (スコア:1)
じゃぁ、1434。
「お客様、その数列は『唯一』お客様に関係の無い数字です。再度ご入力ください。」
ってな話を、マーチン・ガードナー辺りが書いてなかったかしらん?
4桁でいいよ (スコア:1, 興味深い)
桁が増えるとバリエーションが減るからローテーションし辛い。
Re:4桁でいいよ (スコア:1, すばらしい洞察)
覚えにくいなら日本人が得意な語呂合わせで覚えるといいかも。
Re:4桁でいいよ (スコア:0)
「市内局番+加入者番号」のお話だとしたら、東京と大阪以外は眼中外ですかそうですか。
Re:4桁でいいよ (スコア:0)
Re:4桁でいいよ (スコア:2, 参考になる)
と思って調べてみたら・・・
「大は小を兼ねるも杓子(しゃくし)は耳かきにならず」 [ucatv.ne.jp]
が正しいみたいです。
ぐーぐる先生で"耳かきにならず" [google.co.jp]で検索すると、杓子が8件、おたまが2件、しゃもじが1件。
Re:4桁でいいよ (スコア:1, すばらしい洞察)
自転車のダブルロックと同じ発想ですよ。
桁数増やすとか可変長化よりは改修負荷が小さいし。
4桁じゃないと覚えられない人は同じにすればよろし。
いつまでもリテラシの低い奴らに合わさせられるのはまっぴらです。
Re:4桁でいいよ (スコア:0)
Re:まあそれはそれでいいんだけど (スコア:1, 興味深い)
Re:まあそれはそれでいいんだけど (スコア:1)
少佐「2501、次に会うときの合い言葉にしましょう」
バトー「……4桁じゃセキュリティがなあ…」
# 原作だとクラシック音楽の何小節分とかにしてましたっけ。
それ以前に (スコア:5, 参考になる)
http://takagi-hiromitsu.jp/diary/20060810.html [takagi-hiromitsu.jp]
Re:それ以前に (スコア:5, 参考になる)
・背景が白から薄い黄色になり、かわいらしい印象を与えるようになっていた。
・各数字に入っている模様の円弧やノイズ風味のバーが、他の数字と入れ替わっていた。
うん、つまり数字の画像ファイルをアップデートした見たいなんだけど、問題点は何も変わっていなかった(数字の形もそのままだった)。
コリャ簡単に自動化されちゃうよ。
Re:それ以前に (スコア:1, すばらしい洞察)
背景を黄色に変えた意義がさっぱりわからんのだけど、
「変えましたよ」と社の幹部に理解させるためかなあ。
パターンを変えたところであいかわらず10種類しかないのだから、
何の意味もないわけだけど、
誰かが黄色のパターン10枚をブログとかに晒したら、
今度はピンクとかブルーのパターンに差し替えるんだろうかね。
でまた晒し続けたりすると、業務妨害で告訴かもしれん。
最初の2、3回は「こんな杜撰なことをやっていて危ない」って危険を訴える意味があるけど、
もうわかっているのに何回も晒し続けるのは、たしかに業務妨害にあたるかもしれん。
いやもちろん、晒しても何にも危険は増えてないんだけどね。
誰でも3回リロードすれば10枚揃うわけで。
「晒されたからパターンを変更した。なんども変更を余儀なくされて業務を妨害された」
デジタルデバイド裁判官だったら信じちゃいそうで怖いよ。
Re:それ以前に (スコア:1)
たとえランダムで円弧が描かれたとしても、ちょっとした画像処理で消えそうだよ、これじゃ。
ID持ってないので実物は見れないのが残念のようなそうでもないような。
まとめてみた (スコア:5, 参考になる)
・問題になっているサービスとは何か?
三井住友VISAカードの会員向けサービス、Vpassである。
・Vpassとは何か?
三井住友VISAカードの会員(つまりカード持ち)相手のサービスで、カード情報の紹介、明細表示、新規カードの発行、買い物等ができる。
Webでログインして行う。
・ログインする方法は?
2種類ある。
その1
VpassIDとVpassのパスワードのペアで、ログインを行う。
これらはWebで登録する。
IDは、新規登録時に割り振られる、その後自分で変更する。
パスワードは、「半角英数6~8文字」「※大文字小文字は区別されます。」「※同じ文字の羅列、生年月日など類推されやすいパスワードの設定はお控えください。」とのこと。
その2
カードの番号とカードの暗証番号のペアを使い、その後画面に表示された4ケタの数字の画像をみて、その数字を入力する。
今回ログイン出来ないようになったのは、この暗証番号である。
・ログイン出来なくなった人は、どうすればいいの?
ログイン方法その1の、VpassIDを取得する。
(その時、Vpassパスワードも設定する)
ログインする方法が2種類あって混乱しやすいので、雑談する場合には注意してください。
フィッシングメールの文面かと思った (スコア:3, すばらしい洞察)
とかやったら簡単にフィッシングとかできそうですね
# このリンクに意味はないですが;-)
機械的侵入防止と不正利用防止 (スコア:3, 興味深い)
つまり、ここでカード番号と暗証番号を総当りでチェックして、うまくいった組み合わせでスキミングカードを作成して最寄のATMに駆け込みキャッシングすれば現金が手に入る。その上、暗証番号取引なので不正利用に対する保険の適用対象外。
ただし、この方法は蜜墨の暗証番号管理方法に重大な瑕疵があると(私は)思うので、腕のいい弁護士が突っ込めば裁判に負けるでしょう。
ちなみに以前は「従来の会員番号・暗証番号に加えて、画面に表示された4桁の数字を入力」もなかったので本当に機械的総当りが出来ちゃったんです。
参考
第8条(暗証番号)
1.当社は、本会員より申出のあったカードの暗証番号を所定の方法により登録します。但し、申出がない場合または当社が定める指定禁止番号を申出た場合は、当社所定の方法により登録します。
2.会員は、暗証番号を他人に知られないよう、善良なる管理者の注意をもって管理するものとします。カード利用にあたり、登録された暗証番号が使用されたときは、当社に責のある場合を除き、本会員は、そのために生ずる一切の債務について支払いの責を負うものとします。
#世界が認めたステイタス [smbc-card.com]ホルダーなAC
やっと自衛できるようになった (スコア:2, おもしろおかしい)
_ (m) _ピコーン
|ミ|
/ .`´ \
(゚д゚ ) そうか!暗証番号を9999に変更すればいいんだ!
ノヽノ |
< <
高度に発展したセキュリティ技術はハッタリと区別が付かない (スコア:2, おもしろおかしい)
http://life7.2ch.net/test/read.cgi/credit/1153137372/679-681n [2ch.net]
679 :名無しさん@ご利用は計画的に :2006/08/21(月) 23:25:49
>>678
309 :名無しさん@ご利用は計画的に :sage :2006/08/03(木) 15:00:44
>>289
『Vpassでの暗証番号でのログインサービスを停止できないか』
という件について問い合わせたら以下のような返信が来た。
↓
平素は三井住友カードをご利用いただきありがとうございます。
また、この度は貴重なご意見をありがとうございます。
お申し出いただきました、会員番号・暗証番号でのログインに
つきましては、お電話でのお申し出によりましてご利用を停止
させていただくことが可能でございます。
◇Vpassサポートデスク
TEL 06-6445-3735
受付時間 9:00~21:00 (12/30~1/3休)
また、ご指摘のような異例な(不正)アクセスがあった場合は、
システム的に制御するよう考慮しております。
(詳細は、セキュリティ上の問題のため開示いたしかねます)
引き続き、より良いサービスのご提供に努めて参りますので
今後もご愛顧たまわりますよう、どうぞよろしくお願い申し上げます。
**************************************************************
三井住友カード株式会社
E-Mail webmaster@smbc-card.com
**************************************************************
681 :名無しさん@ご利用は計画的に :2006/08/21(月) 23:32:43
>>679
> システム的に制御するよう考慮しております。
> (詳細は、セキュリティ上の問題のため開示いたしかねます)
高度に発展したセキュリティ技術はハッタリと区別が付かない
Re:機械的侵入防止と不正利用防止 (スコア:1)
この時点でしっかりとアシが付くのでダメでしょう。
# 回避する方法はいくつか思い付いたけどしみつだ。
三井住友マスターカードも忘れないで下さい (スコア:2, 参考になる)
Re:三井住友マスターカードも忘れないで下さい (スコア:1)
参考になるモデは間違ってると思う。
Re:三井住友マスターカードも忘れないで下さい (スコア:1, 興味深い)
煽るようで悪いが一例
三井住友におけるIC付きクレジットカードの暗証番号変更は
・VISAカードなら最寄の営業所に身分証明書持参で行けば書き換え可能
・Masterカードは再発行で対応(´・ω・`)
いわゆるマイナーマスターなので三井住友Masterカードを作るなんて……
#一方、セゾンカードはアメリカンエクスプレスと提携した
Re:三井住友マスターカードも忘れないで下さい (スコア:2, 参考になる)
マイナーマスターはKCとか。
参考スレ:
http://life2.2ch.net/credit/kako/1010/10108/1010898488.html
暗証番号という発想が古い (スコア:1)
好きな音楽とか
答えのないクイズの回答とか...
あれ、この前と同じこと書いてるな
フィッシングアンケート (スコア:4, おもしろおかしい)
「好きな絵文字をかいてください^^」
「好きな音楽はなにですか?^^」
「答えのないクイズを考えてください^^」
数日後、見ず知らずの多額の請求が・・・orz
日本橋でわざと引っかかってみた (スコア:2, 参考になる)
あまりにもあつかったので、わざと引っかかってみた。
タダで冷たいお茶が出たので100円マックより安い。
全く説明聞かずに、買ったガジェットをいじってたら
ヲサーンにキレられかけたので帰ってきた。
暴力的な言葉はあったけど実際の暴力はなかったので、
外国に行って現地人とトラブって言葉が分からないので
店から出てきました、なノリで無問題だと思う。
なまじ相手の言葉が分かるのでビビるけど、
心のスイッチをオフにしてヲタ臭におわせながら
ブツブツつぶやいてると、相手も引く模様。
売り払う予定が決心付かず結局持ちあるいていた
ゴールドクロスのプラモも功を奏したのだろうか。
#「なまじ」という日本語の使い方が
#合っているのかどうか自信がない。
屍体メモ [windy.cx]
Re:フィッシングアンケート (スコア:1, おもしろおかしい)
Re:フィッシングアンケート (スコア:0)
「それは個人情報ですから」
と簡単に断れなくては駄目です。
カード屋の責任だ! (スコア:1, すばらしい洞察)
カードの偽造 ---> 偽造されるのは銀行(カード屋)のカードの問題
自分等には責任はいっさいない。
偽造されたら暗証番号も同時に盗まれる。
くらいの発想です。原則的にはカード中には暗証番号情報は入っていなくて、偽造されても本来ならば、そのままでは使うことができない。ということをほとんどの人は知らない(無論スラドの住人の様な IT に近い側の人は別)
マスコミでもなんでも「偽造」「偽造」
と偽造する側が悪くて、偽造されたら防ぎようがない。偽造されたら即現金を引き落とされる。というイメージを定着させているようにしか思えない。暗証番号の強度が低くて、個人情報の流出と合わせてというのが危険であるという警告をほとんどされてない。
責任がカードにあるという風潮です。
暗証番号に責任があるとはほとんど思ってない。
生体認証にしても、暗証番号の強度をあげるため(認証)というイメージはたぶんほとんどなくて、「カード」+「カード以外の何か」というイメージしかない。責任は全てカードにあるそうです。
それでも、生体認証だと契約者以外の人間が引き下ろせなくなるので、年輩の方々は不平たらたらだし、契約者本人以外で、通帳などの解約もできないと、金融機関に怒りをぶつけるしまつ。「不便になった」「最近銀行がおかしい」「仕事をサボっている」とかなんとか。
銀行やら何やらで、説明されてもたぶんほとんどの人は分からないと思うし、「それは銀行の仕事だろう!」「難しいことをいいやがって」「めんどくさくなった」くらいにしか思ってない。ここいらの安直なイメージを作り出したメディアとか、市民の意識の問題を改善しないと(セキュリティ問題に通じる)ダメなんだろうな─と。思う。
Re:カード屋の責任だ! (スコア:1, すばらしい洞察)
Re:カード屋の責任だ! (スコア:1)
Re:カード屋の責任だ! (スコア:1, すばらしい洞察)
いまごろ何を言っても説得力がないよ。
ID登録でも停止? (スコア:0)
仮定A: ID登録では類推されやすい暗証番号でも利用可
→ ログインで停止した意味無し
仮定B: ID登録でも類推されやすい暗証番号は利用停止
→ ID登録できない
バカスwwww
Re:ID登録でも停止? (スコア:0)
定義をお願い裁判所 (スコア:0)
三時間もあれば類推できますが、遅いほうでしょうか?
(教えて)銀行系カードと一緒で、一定回数以上間違えたら駄目なんですよね? (スコア:1)
p.s.お役所系ネット申請パスワードが8桁英数で,毎月変更で、6回間違えると郵送による初期化が必要なのですが、2回やっちゃいました。capsとか疑うと駄目ですね
良くはないと思うが、きちんと控えるようになりました。
Re:定義をお願い裁判所 (スコア:1)
ちなみに、総当りなんかの手法は「類推」とは言わないと思いますよ。
Re:定義をお願い裁判所 (スコア:2, 参考になる)
カードと一緒に盗んだ携帯電話の暗証番号を総当たりで調べて(そのための機器が売られている)、その暗証番号をカードの暗証番号と同じにしていると、そこからあっという間にカードが利用されてしまうとか。
直接的な類推ではありませんが、いわば「携帯電話の暗証番号と同じであろう」という類推と、総当たりの掛け合わせすね。
ってことで、携帯電話の暗証番号と、各種カードの暗証番号を同じにしている人、即、変更しましょう。
Re:定義をお願い裁判所 (スコア:1)
#これで目眩ましになるのだろうか?
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:定義をお願い裁判所 (スコア:1, おもしろおかしい)
ほとんどの携帯は目覚ましにはなります
# そういうことじゃない
Re:定義をお願い裁判所 (スコア:1)
今のバージョンは知りませんが少し前の携快電話とかは
パスワード総当たりでチェックする機能がありました
5か6くらいだったかな?私が自分のDoCoMoの携帯電話で試した時は
3~40分くらいでパスワード見つけた気がします
他にも軽くぐぐってみるとフリー/シェアともにソフト何種類かあるようです
オフトピ気味だけどIDで
Re:定義をお願い裁判所 (スコア:1)
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:神光臨 (スコア:1)
そして100歳問題で大パニックに
#2000年問題って何だったのだろう…
誤記 FireFox
巫女 Firefox [mozdev.org]
Re:神光臨 (スコア:1, おもしろおかしい)
おれは、5桁だ。
しかも、6桁までもうすぐだ。
Re:神光臨 (スコア:1, おもしろおかしい)
#4桁って事は最大15か。若いな。